GCE上實作Bastion Gateway的HA架構

作者: -

概念

NAT(或稱Bastion主機)的架構在自建機房中常常可以見到,我們也可以將該架構在雲端環境上建置來使用... 而Google雲端的環境中,可以透過network與routing的方式搭配來建置一個具有HA(High Availability)的NAT環境,讓NAT不是單點提供服務... 下面是架構的簡單描述:




建置過程

設定網路與防火牆基本規則

首先,建議使用自建Network,好處是可以自訂內部的路由與相關防火牆規則,且可以避免影響其他主機。


gcloud compute networks create kankan-ha-nat \
    --mode legacy \
    --range 10.10.10.0/24

   

為了可以測試狀態,我們允許port 22的ssh連線,因此建立允許 tcp 22 port 連線的防火牆規則...


gcloud compute firewall-rules create kankan-ha-nat-allow-ssh \
--allow tcp:22 --network kankan-ha-nat


在NAT server的建置上,我們需要讓內外部連線可以透通,因此將tcp:1-65535, udp:1-65535, icmp等協定打開,讓內部的網段(10.10.10.0/24)可以透過NAT server來連線外部網路。


gcloud compute firewall-rules create kankan-ha-nat-allow-internal \
--allow tcp:1-65535,udp:1-65535,icmp \
--source-ranges 10.10.10.0/24 --network kankan-ha-nat


建立NAT server

然後我們將NAT server建立起來:


gcloud compute instances create nat-gateway-asia-east1-a --network kankan-ha-nat --can-ip-forward \
--zone asia-east1-a \
--image-family debian-8 \
--image-project debian-cloud \
--tags nat


為了實現NAT的HA可能性,我們需要另外建立一台NAT server,可以讓NAT server異常時候,有另外一台NAT server可以提供路由服務... 下面是用同樣的設定在創建一台NAT server,但是我們選擇不同的zone,讓multi zone提供更高可用性...


gcloud compute instances create nat-gateway-asia-east1-c --network kankan-ha-nat --can-ip-forward \
--zone asia-east1-c \
--image-family debian-8 \
--image-project debian-cloud \
--tags nat


附註:上面NAT主機建立的過程中,必需要開啟network中的"can-ip-forward"參數,開啟後該主機才能夠提供路由之功能...


建立測試主機與連線環境

接下來建立內部服務主機,也就是我們想藏在NAT Gateway後面的重要機器,該主機會具備一個"no-ip"標籤,該標籤主要會結後後面建立的路由規則,讓路由經過指定的NAT主機...


gcloud compute instances create no-ip-instance --network kankan-ha-nat --no-address \
--zone asia-east1-a \
--image-family debian-8 \
--image-project debian-cloud \
--tags no-ip


為了方便測試,我們另外建立測試時使用的 jumper 主機,當作跳到內部主機的跳板...,該主機必須與內部主機在同一個network下面...


gcloud compute instances create kankan-jumper --network kankan-ha-nat \
--zone asia-east1-b \
--image-family debian-8 \
--image-project debian-cloud


設定NAT主機之路由

接下來需要準備NAT主機的路由,指定所有"no-ip"的主機可以走該路由進出internet...


gcloud compute routes create no-ip-internet-route-a --network kankan-ha-nat \
--destination-range 0.0.0.0/0 \
--next-hop-instance nat-gateway-asia-east1-a \
--next-hop-instance-zone asia-east1-a \
--tags no-ip --priority 800


我們也需要針對第二台NAT主機建立同樣的路由...


gcloud compute routes create no-ip-internet-route-c --network kankan-ha-nat \
--destination-range 0.0.0.0/0 \
--next-hop-instance nat-gateway-asia-east1-c \
--next-hop-instance-zone asia-east1-c \
--tags no-ip --priority 800


當兩個路由同時存在時,只要該路由可運作,則內部主機之網路會由可運作的路由提供網路,如果整在使用的 NAT server 異常或關機,則GCE會自動使用另一台 NAT server 主機提供服務。


設定NAT主機

NAT主機需要進行一些路由forward的設定,我們需要連線進入所建立的NAT主機上進行設定:


gcloud compute ssh nat-gateway-asia-east1-a --zone asia-east1-a
gcloud compute ssh nat-gateway-asia-east1-c --zone asia-east1-c


設定的內容如下:


sudo vi /etc/rc.local
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


其中net.ipv4.ip_forward=1是啟動主機內 ip forward 的功能,iptables的那段則是啟用封包forward到eth0網卡的功能... 這些設定寫到 "/etc/rc.local" 則可以讓主機再重新開機後可以自動起來...


測試

最後我們可以透過 jumper server 做跳板,再 ssh 連線進到 no-ip-instance 主機中,然後 ping 外部的 ip ...


gcloud compute ssh kankan-jumper --zone asia-east1-b
ssh no-ip-instance
ping 8.8.8.8


只要上面 ping 8.8.8.8 有實際成功,則我們可以測試輪流關閉(只保留一台NAT主機)時,內部這台主機的ping運作狀況...


參考





作者:KanKan

留言

  1. yanirakage2022年3月4日 下午4:28

    Betway sign up offer: get up to $250 in bet credits - The
    betway sportsbook promo code. Betway 경주 출장샵 Sportsbook. Betway promo code works 목포 출장마사지 just like 구미 출장안마 on the desktop 군산 출장안마 and mobile sports betting sites, so you 군포 출장안마

    回覆刪除

張貼留言

這個網誌中的熱門文章

透過Cloud Shell輕鬆呼叫Google API

作者: -
圖片
我們知道Google有提供API Explore的工具,讓所有Google的API都可以快速的在API Explore上瀏覽API的呼叫與結果,讓開發上非常方便....  下面介紹透過Google的Cloud SDK工具來進行API的呼叫作業... 話說,懶得安裝的話,可以直接使用Cloud Shell喲~ 透過安裝的話,通常透過下面幾個動作即可完成安裝與認證... 安裝Google Cloud SDK…   curl https://sdk.cloud.google.com | bash   認證 Cloud SDK…   gcloud auth login   幫Google的SDK工具設定application default login...   gcloud auth application-default login   如果跟我一樣懶得安裝,可以透過Cloud SDK... 首先,開啟Cloud Shell,進入可以執行的畫面... 在Cloud Shell中,由於內建所安裝的Cloud SDK已經載入了使用者的權限,因此可以方便的呼叫相關的SDK與取得Token... 取得 access token…   gcloud auth application- default print-access-token   接著,我們可以選定一個所要呼叫的Google API進行呼叫 ….,這邊以Google BigQuery為例,可以呼叫 /bigquery/v2/projects/:projectid/datasets 來取得API的結果... 呼叫的內容中,需要在Header處加上Authorization的Bearer token,即是上面取得的access token...   $ curl -H "Authorization:Bearer `gcloud auth application-default print-access-token`" https: // www.googleapis.com/bigquery/v2/projects/mitac-simonsu-2017/datasets { "kind" : "bigquery#datasetList" , "
閱讀完整內容

Google Container Engine的建立

作者: -
圖片
在Google Cloud上使用Container Engine服務來建置Container Cluster是非常方便的事,原因是因為在GKE上,他幫忙我們處理掉了網路的串接、效能管理、對外IP的連線與防火牆的授權等等... GKE是怎麼完成的呢?下面讓我們一步一步的,用比較詳細的流程來看一下每個階段Google做了什麼... 首先我們先建立一個GKE cluster環境,用yourls這個名稱來建立... 建立後,可以在GKE console中看到下面的資訊: 接下來,點進yourls的cluster時候,可以看到下面的資訊... 包含cluster的master與slave以及cluster的location,k8s的版本與cluster size等資訊... 在GKE cluster size小於10台的情況下Google會代管您的Master node,讓管理上可以忽略Master Node的部分,也可以省下Master Node的費用... 另外,下面有列出node pool的資訊,其中GKE上預設node與master的版本相同,而如果要做升級動作,可以針對node與master分開執行,這樣可以讓環境彼此間的影響比較小... 當Cluster架設好,我們會想... 那,就通了嗎?以Google Compute Engine的經驗,我們需要設定firewall讓cluster的環境打通,來看看firewall上的設定... 在firewall上,GKE幫我們建立了幾個設定.. gke-yourls…-all: 允許GKE內部Container的網段可以直接連線彼此 gke-yourls…-ssh: 允許master node可以讓外部ssh連線進入 gke-yourls…-vms: 允許GKE Host VM彼此之間可以互通 透過上述設定,可以讓一個GKE的Cluster可以正常運作... 接下來可以看一個應用程式部署的情況下,在網路上會有哪些改變... ^^ From: IndustrialClouds.net
閱讀完整內容